Огляд популярних UTM рішень, Нариси адміну

Сучасний інтернет таїть у собі безліч загроз, тому левову частину свого часу адміни витрачають на безпеку мережі. З'явившись багатофункціональні пристрої захисту UTM відразу привернули увагу фахівців безпеки т.к. вони поєднують у собі кілька модулів захисту з простотою розгортання та управління. На сьогодні можна зустріти безліч реалізацій, тому вибрати часом не так просто. Спробуймо розібратися з особливостями популярних рішень.

Що таке UTM?

Враховуючи зростання мережевих та вірусних атак, спаму, необхідності в організації безпечного обміну даними, підприємства потребують надійного та простого в управлінні засобу захисту. Особливо гостро постає питання у мережах малого та середнього бізнесу, в яких часто немає технічної та фінансової можливості у розгортанні різноманітних систем безпеки. Та й підготовлених спеціалістів у таких організаціях зазвичай не вистачає. Саме для цих умов були розроблені багатофункціональні багаторівневі мережні пристрої, що отримали назву UTM (Unified Threat Management, уніфікований захист). UTM, що виросли з міжмережевих екранів, сьогодні об'єднують функції декількох рішень - фаєрвол з DPI (Deep Packet Inspection), система захисту від вторгнень (IDS/IPS), антиспам, антивірус і контентна фільтрація. Часто такі пристрої мають можливості організації VPN, автентифікації користувачів, балансування навантаження, обліку трафіку та ін. Пристрої класу «все в одному» з єдиною консоллю налаштувань дозволяють швидко ввести їх у роботу, а потім також легко оновлювати всі функції або додавати нові. Від фахівця потрібно лише розуміння, що і як треба захищати. Вартість UTM, як правило нижче, ніж придбання кількохдодатків/пристроїв, тому й менші сукупні витрати.

Ринок UTM досить великий, і показує щорічний приріст на 25-30% (витісняючи поступово чистий firewall), а тому практично всі великі гравці вже представили свої рішення, як апаратні, так і програмні. Який із них використовувати, це часто питання смаку та довіри до розробника, а також наявності адекватної підтримки та, звичайно ж, специфічних умов. Єдиний момент — слід вибрати надійний і продуктивний сервер з урахуванням запланованого навантаження, адже тепер одна система виконуватиме кілька перевірок, а це вже потребуватиме додаткових ресурсів. При цьому потрібно бути уважним, у характеристиках UTM рішень зазвичай вказується пропускна спроможність міжмережевого екрану, а можливості IPS, VPN та інших компонентів найчастіше нижче. Сервер UTM є єдиною точкою доступу, відмова якої фактично залишить організацію без інтернету, тому різноманітні можливості відновлення також зайвими не будуть. Апаратні реалізації часто мають додаткові запитання, що використовуються для обробки деяких видів даних, на кшталт шифрування або аналізу контексту, що дозволяють зняти навантаження з основного CPU. Проте програмну реалізацію можна встановити на будь-який ПК, з можливістю подальшого безпроблемного апгрейду будь-якого компонента. У цьому плані цікаві OpenSource рішення (Untangle, pfSense, Endian та інші), що дозволяють суттєво заощадити на ПЗ. Більшість із цих проектів пропонують також і комерційні версії з просунутими можливостями та техпідтримкою.

Платформа: FortiGate Сайт проекту: fortinet-russia.ru Ліцензія: платна Реалізація: апаратна

нариси

Платформа: Check Point UTM-1 Сайт проекту: rus.checkpoint.com Ліцензія: платна Реалізація: апаратна

Компанія Check Point пропонує 3 лінійки пристроїв класу UTM: UTM-1, UTM-1 Edge (віддалені офіси) та Safe@Office (невеликі компанії). Рішення містять все необхідне для захисту мережі - фаєрвол, IPS, антивірусний шлюз, антиспам, засоби побудови SSL VPN та віддаленого доступу. Міжмережевий екран вміє розрізняти трафік, властивий більшості програм та сервісів (понад 200 протоколів), адміністратор може легко заблокувати доступ до IM, P2P мереж або Skype. Забезпечується захист веб-застосунків та URL-фільтр, в базі даних Check Point міститься кілька мільйонів сайтів, доступ до яких можна легко блокувати. Антивірус перевіряє потоки HTTP/FTP/SMTP/POP3/IMAP, не має обмежень на розмір файлів та вміє працювати з архівами. Моделі UTM-1 з літерою W випускаються із вбудованою точкою доступу WiFi. В IPS використовуються різні методи виявлення та аналізу: сигнатури вразливостей, аналіз протоколів та поведінки об'єктів, виявлення аномалій. Механізм аналізу вміє обчислювати важливі дані, тому ретельно перевіряється 10% трафіку, решта проходить без додаткових перевірок. Це дозволяє знизити навантаження на систему та підвищити ефективність роботи UTM. Антиспам-система використовує кілька технологій – IP-репутацію, аналіз вмісту, чорний та білий списки. Підтримується динамічна маршрутизація OSPF, BGP та RIP, кілька методів автентифікації користувачів (пароль, RADUIS, SecureID та ін.), реалізовано сервер DHCP. У вирішенні використовується модульна архітектура, так звані Software Blades (програмні блейди) дозволяють при необхідності розширити функціонал до потрібного рівня, забезпечуючи необхідний рівень безпеки та вартість. Так можна дооснастити шлюз блейдами Web Security (виявлення та захист веб-інфраструктури),VoIP (захист VoIP), Advanced Networking, Acceleration & Clustering (максимальна продуктивність та доступність у розгалужених середовищах). Наприклад, технології Web Application Firewall і Advanced Streaming Inspection, які застосовуються в Web Security, дозволяють в реальному часі обробляти контекст, навіть якщо він розбитий на кілька TCP-пакетів, підмінювати заголовки, приховуючи дані про використовувані додатки, перенаправляти користувача на сторінку з детальним описом помилки . Віддалене керування можливе засобами Інтернет та Telnet/SSH. Для централізованих налаштувань кількох пристроїв може застосовуватися Check Point SmartCenter, технологія Security Management Architecture (SMART), що використовується в ньому, дозволяє здійснювати управління всіма елементами Check Point, включеними в політику безпеки. Можливості SmartCenter розширюються за допомогою додаткових модулів, які забезпечують візуалізацію політик, інтеграцію з LDAP, оновлення, звіти та ін. Усі оновлення UTM отримують централізовано за допомогою Check Point Update Service.

нариси

Платформа: ZyWALL 1000 Сайт проекту: zyxel.ru Ліцензія: платна Реалізація: апаратна

Більшість шлюзів безпеки, що випускаються ZyXEL, за своїми можливостями можна сміливо відносити до UTM, хоча, за офіційним класифікатором, сьогодні в цій лінійці п'ять моделей ZyWALL USG 50/100/300/1000/2000, орієнтованих для невеликих та середніх мереж (до 500 користувачів). У термінології ZyXEL такі пристрої називаються Центр мережевої безпеки. Так, наприклад, ZyWALL 1000 є швидкісним шлюзом доступу, призначений для вирішення завдань мережної безпеки та управління трафіком. Включає потоковий антивірус Касперського, IDS/IPS, контентну фільтрацію та захист від спаму (Blue Coat та Commtouch),контроль смуги пропускання та VPN (IPSec, SSL та L2TP over IPSec VPN). До речі, при покупці варто звернути увагу на прошивку — міжнародну або для України. В останній через обмеження митного союзу для тунелів IPsec VPN та SSL VPN використовується ключ DES 56 біт. Політики доступу ґрунтуються на кількох критеріях (IP, користувач та час). Засоби контентної фільтрації дозволяють легко обмежити доступ до сайтів певної тематики та роботу деяких програм IM, P2P, VoIP, mail та ін. Система IDS використовує сигнатури та захищає від мережевих черв'яків, троянів, бекдорів, DDoS та експлойтів. Технологія виявлення аномалій (Anomaly Detection and Prevention) аналізує проходять через шлюз пакети на 2 і 3 рівнях OSI, виявляючи невідповідності, визначає та блокує 32 типи мережевих атак. Можливості End Point Security дозволяють автоматично перевіряти тип ОС, наявність активного антивірусу та firewall, наявність встановлених оновлень, запущених процесів, параметрів реєстру та інших. Адміністратор може заборонити вихід до мережі для систем, які не відповідають певним параметрам. Реалізовано множинне резервування доступу до інтернету та балансування навантаження. Можлива передача VoIP протоколами SIP і Н.323 лише на рівні firewall і NAT, й у VPN тунелях. Передбачена проста організація VLAN та створення віртуальних інтерфейсів-псевдонімів. Підтримується автентифікація засобами LDAP, AD, RADIUS, що дозволяє налаштовувати безпекові політики на основі вже прийнятих в організації правил. Оновлення баз основних компонентів та активація деяких функцій (антиспам Commtouch, збільшення кількості тунелів VPN) здійснюється за допомогою карт підключення. Налаштування здійснюється за допомогою CLI та веб-інтерфейсу. Початкові установки допомагають зробитимайстер.

рішень

ОС: Untangle Server 9.2.1 Сruiser Сайт проекту: untangle.com Ліцензія: GPL Реалізація: програмна Апаратні платформи: x86, x64 Системні вимоги: Pentium 4 або подібний до AMD, 1 Гб RAM, 80 Гб диск, 2 NIC.

Будь-який *nix-дистрибутив можна налаштувати як повноцінне UTM рішення, у репозитаріях пакетів є все необхідне для цього. Але є і мінуси: всі компоненти доведеться встановлювати і налаштовувати самостійно (а це вже вимагає деякого досвіду), і що важливо, так ми втрачаємо єдиний інтерфейс управління. Тому в даному контексті дуже цікавими є готові рішення, побудовані на базі OpenSource систем. Дистрибутив Untangle, що випускається однойменною компанією, з'явившись у 2008 році, одразу привернув увагу спільноти своїм підходом. Його основою послужив Debian, всі налаштування виконуються за допомогою простого та зрозумілого інтерфейсу. Спочатку дистрибутив називався Untangle Gateway і орієнтувався для використання в невеликих організаціях (до 300 користувачів) як повноцінна заміна пропрієтарному Forefront TMG для забезпечення безпечного доступу до Інтернету та захисту внутрішньої мережі від низки загроз. Згодом функції та можливості дистрибутива стали ширшими і назва була змінена на Untangle Server, а дистрибутив вже здатний забезпечити роботу більшої кількості користувачів (до 5000 і вище, залежно від потужності сервера). Спочатку функції захисту Untangle реалізовані у вигляді модулів. Після встановлення базової системи жодних модулів захисту відсутні, адміністратор самостійно вибирає те, що йому потрібно. Для зручності модулі розбиті по 5 пакетах (Premium, Standard, Education Premium Education Standard та Lite), доступність яких визначає ліцензія, а самі пакети поділені на дві групи попризначенню: Filter та Services. Всі OpenSource програми зібрані в безкоштовному Lite, який містить 13 програм, що забезпечують перевірку трафіку на віруси та spyware, контентний фільтр, блокування банерів та спаму, фаєрвол, контроль протоколів, IDS/IPS, OpenVPN, політики доступу (Captive Portal). Модуль Reports, що входить у пакет Lite, дозволяє адміну отримувати звіти з усіх можливих ситуацій — мережевої активності, протоколів, спаму та вірусів, активності користувачів з можливістю відправки результату по email і експорту в PDF, HTML, XLS, CSV і XML. В їх основі лежать популярні OpenSource програми, такі як Snort, ClamAV, SpamAssasin, Squid і т.д. Окрім цього, сервер Untangle забезпечує всі мережеві функції – маршрутизація, NAT, DMZ, QoS, має DHCP та DNS сервери. У комерційних пакетах доступні: балансування навантаження та Failover, контроль смуги пропускання каналу та додатків, модуль для роботи з Active Directory, резервування налаштувань та деякі інші функції. За плату надається і підтримка, хоча відповіді на багато питань можна знайти на офіційному форумі. Крім цього, проект пропонує готові сервери з встановленим Untangle. Для налаштування пропонується зручний інтерфейс, написаний на Java, всі зміни та статистика роботи виводяться в реальному часі. При роботі з Untangle адміністратору не потрібно мати глибоких знань * nix, достатньо розуміти, що потрібно отримати в результаті. Установка дистрибутива досить проста, треба просто слідувати за підказками майстра, інший майстер надалі допомагає налаштувати шлюз.

огляд
Endian Firewall

ОС: Endian Firewall Community 2.5.1 Сайт проекту: endian.com/en/community Ліцензія: GPL Апаратні платформи: x86 Системні вимоги: CPU 500 МГц, 512 Mб RAM, 2Гб

популярних

Висновок

Комплексні системи UTM поступово витісняють традиційні рішення на кшталт firewall, тому варто придивитися до них уважніше. Залежно від конкретних умов підійдуть різні варіанти. Із захистом невеликих та середніх мереж цілком справляються OpenSource Endian Firewall та Untangle. Звичайно, UTM не замінюють, а доповнюють засоби захисту, встановлені на окремих ПК, створюючи додатковий рубеж захисту на вході до LAN.